BLACK HAT EUROPE 2023 – Лондон – Очаквайте правителствата да наложат по-строги регулации в областта на киберсигурността, ако предприятията не могат да се защитят от големи атаки и да спрат нарушенията.
Това прогнозира основателят на Black Hat Джеф Мос, който говори на Black Hat Europe в Лондон тази седмица. Той вярва, че в крайна сметка светът ще достигне до критична точка, в която твърде много силно въздействащи пробиви и ескалиращи инфраструктурни удари от спонсорирани от държави нападатели ще подтикнат правителствата да действат.
„Саморегулирането не работи“, отбеляза той от основната сцена.
Мос също така заяви, че сигурността може да се насочи към момента на Сарбейнс Оксли (SOX) – американски закон, въведен след срива на Enron през 2001 г., който защитава инвеститорите чрез проверка за измамни счетоводни и съмнителни финансови практики в публично търгувани компании. Постигането на съответствие с изискванията на SOX изисква финансовите отчети да включват доклад за вътрешния контрол, за да се покаже, че финансовите данни на компанията са точни и са въведени адекватни механизми за контрол за защита на финансовите данни – и лесно може да се види как това може да се пренесе в одита на киберсигурността.
Регулацията трябва да бъде нюансирана
Междувременно основният говорител на Black Hat Europe и бивш директор по сигурността на Uber Джо Съливан (който сам е осъден и е в изпитателен срок за измама заради това, че не е предупредил регулаторните органи за пробив в киберсигурността на гиганта за споделено пътуване през 2016 г.) подчертава, че регулаторните органи трябва да бъдат равнопоставени по отношение на това кой трябва да носи отговорност за опазването на безопасността на хората и да вземат предвид реалностите, свързани с пробивите в данните и тяхното ограничаване на място. Трябва ли някой да бъде осъден на затвор за това, че се е поддал на социално инженерство, например? Трябва ли финансовият директор, който не смята, че двуфакторната автентикация е подходяща за бюджета на компанията, да плаща глоби, когато превземането на акаунт доведе до атака с рансъмуер? А какво да кажем за екипа по сигурността, който не е успял да обоснове по подходящ начин необходимостта от нея?
В разговор с Dark Reading Съливан използва примера с новоприетите правила на SEC за докладване на нарушения на сигурността на данните; той твърди, че когато SEC е отправила искане за обратна връзка по проекта на правилата, тя не е успяла да вземе предвид мнението на работещите на предна линия.
„Бих искал общността по сигурността действително да им даде обратна връзка, а не само [жертвите, засегнати от пробиви]“, казва той. „Мисля, че повечето от хората, които са седели на тези правителствени места, никога не са седели на мястото на CISO или на мястото на инженера по сигурността и няма да бъдат съпричастни.“
Дори и така, ако регулаторният подход се прилага правилно, той би могъл да превърне сигурността във фокус на цялата компания, което може да доведе до положителни резултати по отношение на готовността и защитата, казва той.
„[Посланието на] регулаторите е: „Ако не се погрижите за сигурността на хората, ще има последствия“, отбелязва той. „Необходимо е това да бъде чуто на най-високите нива в компанията, а не само на ниво сигурност на компанията, и тогава ще постигнем истинска промяна.“